Indirizzi IP


Molte Google Cloud risorse possono avere indirizzi IP interni ed esterni. Ad esempio, puoi assegnare un indirizzo IP interno ed esterno alle istanze Compute Engine. Le istanze utilizzano questi indirizzi per comunicare con altre risorse e sistemi esterni. Google Cloud

Ogni interfaccia di rete utilizzata da un'istanza deve avere un indirizzo IPv4 interno principale. Ogni interfaccia di rete può avere anche uno o più intervalli IPv4 di alias e un indirizzo IPv4 esterno. Se l'istanza è collegata a una subnet che supporta IPv6, a ogni interfaccia di rete possono essere assegnati anche indirizzi IPv6 interni o esterni.

Un'istanza può comunicare con le istanze della stessa rete VPC (Virtual Private Cloud), utilizzando l'indirizzo IPv4 interno dell'istanza. Se le istanze hanno IPv6 configurato, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni dell'istanza. Come best practice, utilizza indirizzi IPv6 interni per la comunicazione interna.

Per comunicare con internet, puoi utilizzare un indirizzo IPv4 o IPv6 esterno configurato sull'istanza. Se nell'istanza non è configurato alcun indirizzo esterno, Cloud NAT può essere utilizzato per il traffico IPv4.

Analogamente, devi utilizzare l'IPv4 o l'IPv6 esterno dell'istanza per connetterti alle istanze esterne alla stessa rete VPC. Tuttavia, se le reti sono connesse in qualche modo, ad esempio tramite il peering di rete VPC, puoi utilizzare l'indirizzo IP interno dell'istanza.

Per informazioni su come identificare l'indirizzo IP interno ed esterno per le tue istanze, consulta Visualizzare la configurazione di rete di un'istanza.

Indirizzi IP interni

Alle interfacce di rete di un'istanza vengono assegnati gli indirizzi IP della subnet a cui sono collegate. Ogni interfaccia di rete ha un indirizzo IPv4 interno primario, assegnato dall'intervallo IPv4 principale della subnet. Se la subnet ha un intervallo IPv6 interno, oltre all'indirizzo IPv4 interno primario, facoltativamente puoi configurare l'interfaccia di rete con un indirizzo IPv6 interno principale.

Gli indirizzi IPv4 interni possono essere assegnati nei seguenti modi:

  • Compute Engine assegna automaticamente un singolo indirizzo IPv4 dagli intervalli di subnet IPv4 principali.
  • Puoi assegnare un indirizzo IPv4 interno specifico quando crei un'istanza di calcolo.

Gli indirizzi IPv6 interni possono essere assegnati alle istanze collegate a una subnet con un intervallo IPv6 interno nei seguenti modi:

Puoi anche prenotare un indirizzo interno statico dall'intervallo IPv4 o IPv6 della subnet e assegnarlo a un'istanza.

Le istanze Compute possono anche avere intervalli e indirizzi IP di alias. Se hai più di un servizio in esecuzione su un'istanza, puoi assegnare a ogni servizio il proprio indirizzo IP univoco.

Nomi DNS interni

Google Cloud risolve automaticamente il nome DNS completo (FQDN) di un'istanza negli indirizzi IP interni dell'istanza. I nomi DNS interni funzionano solo all'interno della rete VPC dell'istanza.

Per ulteriori informazioni sui nomi di dominio completi (FQDN), consulta DNS interno.

Indirizzi IP esterni

Se devi comunicare con internet o con risorse di un'altra rete VPC, puoi assegnare un indirizzo IPv4 o IPv6 esterno a un'istanza. Se le regole firewall o i criteri del firewall gerarchico consentono la connessione, le origini esterne a una rete VPC possono raggiungere una risorsa specifica utilizzando il relativo indirizzo IP esterno. Solo le risorse con un indirizzo IP esterno possono comunicare direttamente con le risorse esterne alla rete VPC. La comunicazione con una risorsa tramite un indirizzo IP esterno può comportare addebiti aggiuntivi.

Alternative all'utilizzo di un indirizzo IP esterno

Gli indirizzi IP interni o privati offrono una serie di vantaggi rispetto agli indirizzi IP esterni o pubblici, tra cui:

  • Superficie di attacco ridotta. La rimozione degli indirizzi IP esterni dalle istanze di calcolo rende più difficile per gli utenti malintenzionati raggiungere le istanze e sfruttare potenziali vulnerabilità.
  • Maggiore flessibilità. L'introduzione di un livello di astrazione, come un bilanciatore del carico o un servizio NAT, consente di fornire servizi più affidabili e flessibili rispetto agli indirizzi IP esterni statici.

La tabella seguente riassume i modi in cui le istanze di calcolo possono accedere o essere accessibili da internet quando non hanno un indirizzo IP esterno.

Metodo di accesso Soluzione Ideale se
Interattiva Configurare il Forwarding TCP per Identity-Aware Proxy (IAP) Vuoi utilizzare servizi amministrativi come SSH e RDP per connetterti alle tue istanze di backend, ma le richieste devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.
Recupero Gateway Cloud NAT

Vuoi che le istanze Compute Engine che non dispongono di indirizzi IP esterni si connettano a internet (in uscita), ma che gli host esterni alla tua rete VPC non possano avviare le proprie connessioni alle tue istanze di calcolo (in entrata). Potresti utilizzare questo approccio per gli aggiornamenti del sistema operativo o per le API esterne.

Secure Web Proxy Devi isolare le istanze Compute Engine da internet creando nuove connessioni TCP per loro conto, rispettando al contempo le norme di sicurezza amministrate.
Pubblicazione Creare un bilanciatore del carico esterno Vuoi che i client si connettano alle risorse senza indirizzi IP esterni in qualsiasi parte di Google Cloud , proteggendo al contempo le tue istanze di calcolo da attacchi DDoS e attacchi diretti.

Indirizzi IP regionali e globali

Quando elenchi o descrivi gli indirizzi IP nel tuo progetto, Google Cloud li etichetta come globali o regionali, il che indica come viene utilizzato un determinato indirizzo. Quando associ un indirizzo a una risorsa regionale, ad esempio un'istanza, Google Cloud etichetta l'indirizzo come regionale. Le regioni sono Google Cloud regioni, ad esempio us-east4 o europe-west2.

Gli indirizzi IP globali vengono utilizzati nelle seguenti configurazioni:

Per istruzioni su come creare un indirizzo IP globale, consulta Prenota un nuovo indirizzo IP esterno statico.

Panoramica dell'SLA per il networking di Compute Engine

Compute Engine dispone di un accordo sul livello del servizio (SLA) che definisce gli obiettivi del livello di servizio (SLO) per la percentuale di uptime mensile per i livelli di servizio di rete.

Quando crei un'istanza Compute Engine, per impostazione predefinita viene visualizzato un indirizzo IP interno. Inoltre, puoi configurare un indirizzo IP esterno con la rete del livello Premium (predefinito) o del livello Standard. Il livello di servizio di rete scelto dipende dai tuoi requisiti di costo e qualità del servizio. Ogni livello di servizio di rete ha un SLO diverso.

Quando crei l'istanza di calcolo, puoi configurare più NIC collegate all'istanza e ciascuna NIC può avere una configurazione di rete diversa, come mostrato nel seguente diagramma:

Un'istanza con tre schede NIC, ciascuna delle quali gestisce un traffico di rete diverso con livelli di servizio di rete diversi.

Figura 1. Un'istanza con tre schede NIC, ciascuna delle quali gestisce un traffico di rete diverso con livelli di servizio di rete diversi.

Nel diagramma precedente, l'istanza di esempio denominata VM appliance ha tre NIC, configurate come segue:

  • nic0 è configurato con una subnet IP interna.
  • nic1 è configurato con una subnet IP esterna e utilizza il livello di rete standard.
  • nic2 è configurato con una subnet IP esterna e utilizza il livello di rete Premium.

In questo esempio, l'istanza VM non è una VM ottimizzata per la memoria. A seconda della NIC che presenta una perdita di connettività, sono applicabili diversi SLO. L'elenco seguente descrive l'SLA per le diverse NIC in questo esempio.

  • nic0: una VM a istanza singola con indirizzi IP interni. La percentuale di uptime mensile è pari al 99,9%.
  • nic1: una VM a istanze singole con un indirizzo IP esterno che utilizza il livello di rete standard. Questa VM non è protetta da alcun SLA. Solo più istanze in più zone sono protette al 99,9% con il livello di rete standard.
  • nic2: una VM a istanza singola con indirizzo IP esterno che utilizza il livello di rete Premium. La percentuale di uptime mensile è del 99,9%. Per più istanze in più zone, la percentuale di uptime mensile è del 99,99% con il livello di networking Premium.

Passaggi successivi